Per comprendere il valore delle soluzioni di biometria per la protezione dei dispositivi è sufficiente considerare che le app di mobile banking stanno diventando sempre più diffuse e che i criminali informatici dimostrano un crescente interesse nel cercare di compromettere i dispositivi mobile.
Nuovi e sofisticati metodi di attacco hanno reso il classico schema username-password completamente obsoleto. Persino l’autenticazione a due fattori, più sicura ma ancora basilare, sembra insufficiente, poiché gli hacker hanno trovato il modo di ingannare gli utenti inducendoli a inserire i codici di accesso all’interno di interfacce utente fasulle.
La sfida principale è sempre stata quella di escogitare uno schema di sicurezza abbastanza dinamico con cui riuscire a contrastare gli hacker senza ostacolare l’usabilità.
Dal punto di vista dell’utente, il dover costantemente aggiungere nuove credenziali come password complesse e nomi utente unici è una seccatura che può indurre al passaggio a un altro fornitore di servizi.
Scorciatoie comportamentali
Inoltre, provoca anche scorciatoie nel comportamento: ad esempio l’uso della stessa password per più piattaforme o il ricorso a password semplici che siano facili da ricordare.
Questo di per sé mina la sicurezza, in quanto rende più agevole per i criminali trovare debolezze su cui far leva. I dispositivi mobile sono particolarmente vulnerabili in quanto gli utenti tendono a essere meno consapevoli della sicurezza rispetto a quando usano desktop o laptop.
I livelli di sicurezza recentemente aggiunti, inoltre, sono costantemente compromessi da implementazioni che presentano bug o da carenze intrinseche dei dispositivi mobile e dei relativi sistemi operativi.
I criminali informatici sono costantemente al lavoro per trovare nuovi modi per sfruttare queste falle. Ogni loro successo significa che gli sviluppatori devono migliorare i livelli di sicurezza esistenti o aggiungerne altri che contribuiscono alla complessità generale.
Ma la tecnologia non è l’unico elemento preso di mira dai cybercriminali, che cercano di sfruttare anche la mancanza di preparazione degli utenti. Ad esempio, possono presentare a un cliente inconsapevole una finta schermata di login in cui digitare le credenziali e qualsiasi codice di autenticazione ricevuto via SMS, mentre il malware cambia segretamente il numero del conto di destinazione.
Per questi motivi, le istituzioni finanziarie hanno aggiunto alle proprie app una sicurezza più discreta che normalmente non interferisce con l’usabilità.
Ad esempio, tenendo conto del momento e del luogo in cui solitamente gli utenti accedono alle loro app di mobile banking, si possono rilevare rapidamente tentativi di accesso potenzialmente sospetti. Se qualcuno prova ad eseguire una transazione importante in piena notte, dall’altra parte del mondo, è chiaro che c’è qualcosa di insolito.
Bloccare la transazione fino a quando non siano state fatte alcune verifiche aggiuntive è la miglior linea d’azione. Ma accanto a tempo e luogo possono essere aggiunti al mix sempre più elementi comportamentali.
Ad esempio, la pressione delle dita quando si tocca o si scorre lo schermo dello smartphone o, ancora, la velocità di digitazione. Se qualcosa non quadra, potrebbe essere successo che un dispositivo sia stato rubato o che l’utente stia inconsapevolmente operando su una sovrapposizione creata dai criminali informatici in sostituzione dell’app effettiva.
Il comportamento come fattore aggiuntivo
Questo tipo di sicurezza, ci spiega Giovanni Verhaeghe, Director Market & Product Strategy di Vasco Data Security, è diventato noto come biometria comportamentale.
Catturando il modo in cui l’utente è solito utilizzare il dispositivo lungo un certo arco di tempo, gli algoritmi di biometria comportamentale possono definire una sorta di impronta digitale.
Se le azioni dell’utente corrispondono a quell’impronta digitale, esiste una maggiore probabilità che esse siano legittime e che non ci sia alcuna necessità di interferire ed eventualmente compromettere l’esperienza d’uso.
Al contrario, un improvviso cambiamento nel comportamento potrebbe indicare che qualcosa stia accadendo. La banca può quindi intervenire e richiedere ulteriori verifiche.
Poiché la biometria comportamentale è un modo discreto per verificare le transazioni, l’onere della sicurezza si allontana dall’utente. Gli utenti normalmente non noteranno nulla in quanto non sono richieste ulteriori azioni da parte loro.
Ciò, a sua volta, significa che il tempo impiegato per autenticare un utente è ridotto al minimo, quindi l’utente impiega più tempo a utilizzare effettivamente l’applicazione. Al tempo stesso, la sessione è protetta con il livello di sicurezza che gli utenti si aspettano.
La biometria comportamentale riduce le frodi e al contempo rende minimo il verificarsi di falsi positivi. Inoltre, non sconfina nella privacy dei clienti come fanno i dati biometrici tradizionali, quali i database di impronte digitali, le scansioni dell’iride o le impronte vocali. Il modello comportamentale di un utente è memorizzato come un’equazione matematica che non ha utilità per i criminali alla ricerca di dati personali.
La biometria comportamentale offre sicurezza a livello di transazione. Non si limita a renderesicura una sola strada e si presenta molto difficile da superare per i criminali poiché non esiste una singola debolezza che essi possano sfruttare. Allo stesso tempo, l’utente non è gravato dai disagi che altri livelli di sicurezza normalmente comportano.